Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zur Planung von Firewallfiltern

Bevor Sie einen Firewallfilter erstellen und auf eine Schnittstelle anwenden, legen Sie fest, was der Firewallfilter leisten soll und wie Sie seine Übereinstimmungsbedingungen und Aktionen verwenden können, um Ihre Ziele zu erreichen. Sie müssen verstehen, wie Pakete an die Bedingungen angepasst werden, die standardmäßigen und konfigurierten Aktionen des Firewall-Filters und die richtige Platzierung des Firewall-Filters.

Sie können nicht mehr als einen Firewall-Filter pro Port, VLAN oder Router-Schnittstelle und Richtung konfigurieren und anwenden. Die folgenden Grenzwerte gelten für die Anzahl der Firewall-Filterbegriffe, die pro Filter auf verschiedenen Switch-Modellen zulässig sind:

  • Bei EX3300-Switches darf die Anzahl der Begriffe pro Filter 1436 nicht überschreiten.

  • Bei EX3200- und EX4200-Switches darf die Anzahl der Begriffe pro Filter 7042 nicht überschreiten.

  • Auf EX2300-Switches wird die folgende maximale Anzahl von Begriffen für ein- und ausgehenden Datenverkehr für Firewall-Filter unterstützt, die auf einem Port, VLAN und einer Layer-3-Schnittstelle konfiguriert sind:

    • Für eingehenden Datenverkehr:

      • 256 Begriffe für Firewall-Filter, die an einem Port konfiguriert sind

      • 256 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 256 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 256 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

    • Für ausgehenden Datenverkehr:

      • 512 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

      • 128 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

    Auf EX3400-Switches wird die folgende maximale Anzahl von Begriffen für eingehenden und ausgehenden Datenverkehr für Firewall-Filter unterstützt, die auf einem Port, VLAN und einer Layer-3-Schnittstelle konfiguriert sind:

    • Für eingehenden Datenverkehr:

      • 512 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

      • 512 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

    • Für ausgehenden Datenverkehr:

      • 512 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

      • 256 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 1024 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 1024 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

    Auf EX4300-Switches wird die folgende maximale Anzahl von Begriffen für ein- und ausgehenden Datenverkehr für Firewall-Filer unterstützt, die auf einem Port, VLAN und einer Layer-3-Schnittstelle konfiguriert sind:

    • Für eingehenden Datenverkehr:

      • 3500 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

      • 3500 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 7000 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 3500 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

      HINWEIS:

      Der TCAM-Grenzwert (Ternary Content Addressable Memory) für eingehenden Datenverkehr auf dem EX4300-Switch beträgt 256 Einträge.

    • Für ausgehenden Datenverkehr:

      • 512 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

      • 256 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

      HINWEIS:

      Sie können die maximale Anzahl von Begriffen nur konfigurieren, wenn Sie einen Firewall-Filtertyp (Port-, VLAN- oder Router-Firewall-Filter (Layer 3)) auf dem Switch konfigurieren und wenn die Sturmsteuerung auf keiner Schnittstelle im Switch aktiviert ist.

  • Bei EX4500- und EX4550-Switches darf die Anzahl der Begriffe pro Filter 1200 nicht überschreiten.

  • Bei EX6200-Switches darf die Anzahl der Begriffe pro Filter 1400 nicht überschreiten.

  • Bei EX8200-Switches darf die Anzahl der Begriffe pro Filter 32.768 nicht überschreiten.

Versuchen Sie außerdem, bei der Anzahl der Begriffe (Regeln), die Sie in jeden Firewallfilter aufnehmen, konservativ zu sein, da eine große Anzahl von Begriffen eine längere Verarbeitungszeit während eines Commits erfordert und auch das Testen und die Fehlerbehebung von Firewallfiltern erschweren kann. Ebenso kann die Anwendung von Firewall-Filtern auf viele Switch- und Router-Schnittstellen das Testen und die Fehlerbehebung der Regeln dieser Filter erschweren.

Bevor Sie Firewallfilter konfigurieren und anwenden, beantworten Sie die folgenden Fragen für jeden dieser Firewallfilter:

  1. Wozu dient der Firewall-Filter?

    Sie können beispielsweise einen Firewallfilter verwenden, um den Datenverkehr auf Quell- und Ziel-MAC-Adressen, bestimmte Protokolle oder bestimmte Datenraten zu beschränken oder um Denial-of-Service-Angriffe (DoS) zu verhindern.

  2. Was sind die geeigneten Spielbedingungen?

    1. Bestimmen Sie die Paket-Header-Felder, die das Paket für eine Übereinstimmung enthalten muss. Mögliche Felder sind:

      • Layer-2-Header-Felder – Quell- und Ziel-MAC-Adressen, dot1q-Tag, Ethernet-Typ und VLAN

      • Layer-3-Header-Felder: Quell- und Ziel-IP-Adressen, Protokolle und IP-Optionen (IP-Präzedenz, IP-Fragmentierungsflags, TTL-Typ)

      • TCP-Header-Felder: Quell- und Zielports und -flags

      • ICMP-Header-Felder – Pakettyp und -code

    2. Ermitteln Sie den Port, das VLAN oder die Router-Schnittstelle, auf der das Paket empfangen wurde.

  3. Welche Maßnahmen sind zu ergreifen, wenn es zu einem Match kommt?

    Mögliche Aktionen, die beim Auftreten einer Übereinstimmung ausgeführt werden können, sind Akzeptieren, Verwerfen und Weiterleiten an eine Routing-Instanz.

  4. Welche zusätzlichen Aktionsmodifikatoren könnten erforderlich sein?

    Bestimmen Sie, ob zusätzliche Aktionen erforderlich sind, wenn ein Paket eine Übereinstimmungsbedingung erfüllt. Sie können z. B. einen Aktionsmodifikator angeben, um Pakete zu zählen, zu analysieren oder zu überwachen.

  5. Auf welcher Schnittstelle soll der Firewall-Filter angewendet werden?

    Beginnen Sie mit den folgenden grundlegenden Richtlinien:

    • Wenn alle Pakete, die einen Port erreichen, einer Filterung ausgesetzt werden müssen, verwenden Sie Port-Firewall-Filter.

    • Wenn alle Pakete, die überbrückt werden, gefiltert werden müssen, verwenden Sie VLAN-Firewall-Filter.

    • Wenn alle weitergeleiteten Pakete gefiltert werden müssen, verwenden Sie Router-Firewall-Filter.

    Bevor Sie die Schnittstelle auswählen, auf die ein Firewallfilter angewendet werden soll, sollten Sie sich darüber im Klaren sein, wie sich diese Platzierung auf den Datenverkehrsfluss zu anderen Schnittstellen auswirken kann. Wenden Sie im Allgemeinen einen Firewallfilter an, der nach Quell- und Ziel-IP-Adressen, IP-Protokollen oder Protokollinformationen (z. B. ICMP-Nachrichtentypen und TCP- und UDP-Portnummern) filtert, die den Quellgeräten am nächsten liegen. Wenden Sie jedoch in der Regel einen Firewallfilter an, der nur nach einer Quell-IP-Adresse filtert, die den Zielgeräten am nächsten ist. Wenn ein Firewallfilter, der nur nach einer Quell-IP-Adresse filtert, zu nahe am Quellgerät angewendet wird, kann er möglicherweise verhindern, dass dieses Quellgerät auf andere Dienste zugreift, die im Netzwerk verfügbar sind.

    HINWEIS:

    Ausgangs-Firewall-Filter haben keinen Einfluss auf den Fluss lokal generierter Steuerpakete von der Routing-Engine.

  6. In welche Richtung soll der Firewall-Filter angewendet werden?

    Sie können Firewall-Filter auf Ports auf dem Switch anwenden, um Pakete zu filtern, die in einen Port gelangen. Sie können Firewall-Filter auf VLANs und Layer-3-Schnittstellen (geroutet) anwenden, um Pakete zu filtern, die in ein VLAN oder eine geroutete Schnittstelle eintreten oder es verlassen. In der Regel konfigurieren Sie andere Aktionssätze für den Datenverkehr, der in eine Schnittstelle eindringt, als für den Datenverkehr, der eine Schnittstelle verlässt.